Il est possible de générer un certificat SSL pour tous les sites. Cette solution tire profit du projet Let's Encrypt, une autorité de certification open source qui fournit des certificats gratuits. Pour utiliser cette solution, vous devez avoir indiqué un domaine pour votre site. Pour en savoir plus, consultez l'article Mettez votre site en ligne, publiez-le et configurez votre domaine.
Ai-je besoin d'une connexion HTTPS ?
L'utilisation d'une connexion sécurisée permet d'empêcher la modification ou la corruption de données pendant le transfert. Avec un site sécurisé, les visiteurs ont l'assurance que votre site affiche le contenu que vous souhaitez afficher.
En outre, l'utilisation d'une connexion HTTPS sécurisée est un indicateur de classement secondaire, ce qui est bénéfique pour le SEO global de votre site.
Une fois que vous avez publié votre site et configuré un domaine personnalisé, configurez le certificat SSL :
- Dans le panneau de gauche, cliquez sur SEO et paramètres, puis sur l'onglet Certificat SSL.
- Cliquez sur Générer un certificat pour créer un certificat SSL.
Le processus, qui inclut la formulation de la demande auprès de Let’s Encrypt et la configuration du certificat SSL récemment généré, est totalement automatisé et peut prendre jusqu'à une heure. Pendant le processus de mise à disposition du certificat, un statut « En cours » indique que la demande est en cours de gestion. Une fois le processus terminé, le statut de la demande devient « Terminé » et un e-mail de confirmation est envoyé au titulaire du compte.
- Pour veiller à ce que les utilisateurs accèdent toujours à votre site via le protocole SSL, faites basculer le bouton sur Force visitors to use secure connection (HTTPS) (Obliger les visiteurs à utiliser une connexion sécurisée [HTTPS]). Une fois cette option activée, tous les visiteurs seront redirigés vers la connexion sécurisée.
- Republiez votre site.
Un certificat SSL n'est jamais supprimé, sauf si vous cliquez sur Remove certificate (Supprimer le certificat).
Créer de nouveau le certificat SSL
Pour recréer votre certificat SSL, vous devez supprimer l'ancien et en générer un nouveau.
Plusieurs raisons peuvent vous obliger à recréer votre certificat SSL. Par exemple, si vous avez déjà configuré votre domaine à l'aide d'une méthode impliquant l'utilisation d'un enregistrement CNAME et d'une redirection 301, et que vous avez modifié vos paramètres DNS pour refléter un enregistrement CNAME et deux enregistrements A, vous devrez recréer votre certificat SSL.
En outre, selon la façon dont les enregistrements DNS ont été propagés au moment où vous génériez votre certificat SSL initial, il se peut que le certificat SSL n'a été généré que pour www.domaine.com
, et pas également pour domaine.com
. Dans ce cas, le site est uniquement sécurisé sur https://www.domaine.com
et non sur https://domaine.com
. Vous devrez alors là aussi recréer votre certificat SSL.
Pour créer de nouveau le certificat SSL :
- Dans le panneau de gauche, cliquez sur SEO et paramètres, puis sur l'onglet Certificat SSL.
- Cliquez sur Supprimer le certificat.
- Cliquez sur Générer le certificat.
Le processus de régénération d'un certificat SSL est entièrement automatisé et peut prendre jusqu'à une heure. Pendant le processus, un statut « En cours » indique que la demande est en cours de traitement. Une fois le processus terminé, le statut de la demande apparaît comme « Terminé » et un e-mail de confirmation est envoyé au titulaire du compte.
Informations sur les connexions sécurisées
- Vous devrez créer de nouveau votre certificat SSL si vous avez modifié vos paramètres DNS pour passer de la méthode basée sur un enregistrement CNAME et une redirection 301 à la méthode basée sur un enregistrement CNAME et deux enregistrements A.
- Les certificats des sites sont valables trois mois. Deux semaines avant la fin du certificat, le site le renouvelle afin de veiller à ce que le site reste sécurisé et valide.
- Une fois que votre site a été configuré avec un certificat, vous pouvez voir une petite icône en forme de cadenas sur votre tableau de bord indiquant que le site est sécurisé.
- Le créateur de site web utilise la politique HSTS (HTTP Strict Transport Security). Cette fonctionnalité participe à la protection contre les attaques par repli et les détournements de sessions.
- La connexion sécurisée du site utilise le certificat DV (Domaine validé).
- Notre application SSL est incompatible avec toute version d'Internet Explorer sur Windows XP (mais fonctionne sur Chrome ou Firefox).
- Incompatible avec Android 2.3 et les versions antérieures.
- Nous avons ajouté un circuit logique à la plateforme, afin de nous assurer que nous ne redirigeons pas le trafic vers une connexion HTTPS pour ces appareils. Si un utilisateur utilisant un navigateur incompatible tente de charger la version HTTPS du site, un message d'erreur/d'avertissement de sécurité s'affiche. Cependant, si l'utilisateur visite la version HTTP du site, le site ne charge tout simplement pas la version HTTPS.
- Notre solution SSL ne prend actuellement pas en charge les noms de domaine internationalisés (noms composés de caractères non latins, par ex. www.bücher.de)
Utilisation d'un code personnalisé ou tiers sur les sites SSL
En raison des normes HTML, le contenu HTTP ou non sécurisé ne peut pas s'afficher sur des sites HTTPS ou sécurisés. Cela signifie que tout code personnalisé qui dépend du chargement d'un contenu depuis un serveur HTTP ne fonctionnera pas sur un site SSL. Si vous devez utiliser un code qui est normalement chargé depuis un serveur HTTP, nous vous recommandons l'une des deux solutions suivantes :
- Demander un code compatible HTTPS à votre fournisseur de code
- Désactiver HTTPS pour votre site adaptatif
Notre éditeur s'affichant par défaut sur une connexion HTTPS, un bon moyen de tester si le code fonctionnera ou non sur le site final est de voir s'il fonctionne dans l'éditeur. Si ce n'est pas le cas, il ne fonctionnera probablement pas sur un site HTTPS réel.